Toggle sidebar

Статья Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)

Введение
Доброго времени суток, друзья!
Давненько меня тут не было. Сегодня решил поделиться с вами обзором уже довольно известной уязвимости под названием BlueKeep (CVE-2019-0708). Первая версия этой уязвимости, о которой, собственно и пойдет речь - затрагивает службу удаленного доступа (Remote Desktop Services) на всех версиях ОС от Windows XP до Windows Server 2008 R2 и позволяет выполнить RCE (Remote Code Execution). Т.е это позволяет неавторизованному атакующему произвести удаленное выполнение произвольного кода без участия пользователя. Уязвимость получила 9.8/10 баллов по CVSS 3.1.

Основная часть
Сразу перейдем к практике. Эксплойт еще не вошел в основную ветку Metasploit-Framework, но уже доступен в pull request. Необходимо скачать оттуда 4 файла и положить их в корневую папку msf. Приступим:

Bash: 
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/lib/msf/core/exploit/rdp.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/auxiliary/scanner/rdp/rdp_scanner.rb


Убеждаемся что все скачалось и копируем в папку где установлен Metasploit, у меня это /opt/metasploit-git:

1568505542826.png


Затем запускаем msf, ставим необходимые параметры

1568506819965.png


Выставляем целевую систему и запускаем эксплойт

1568507054139.png


Enjoy

1568586302045.png

Обратите внимание мы получили доступ сразу с системными правами. Повытаскиваем пароли... Кстати эксплойт не редко приводит к BSoD (Синий экран смерти), как заявляет его создатель стабильность составляет 70%. Примерно так и есть, на моей практике 1 из 3 попыток завешается крахом.


Методы противодействия
Для успешной компрометации на системе должен быть отключен NLA, что не является чем то особенным даже в больших компаниях. Что это такое?
Проверка подлинности на уровне сети (Network-Level Authentication, NLA) заставляет пользователя вводить учетные данные в диалоговом окне на стороне клиента. По умолчанию, если на клиентской части нет проверки сертификата подлинности на уровне сети, то сервер не разрешит подключение, и оно не произойдет. NLA запрашивает клиентский компьютер предоставить свои учетные данные для проверки подлинности, еще до создания сеанса с сервером. Этот процесс еще называют фронтальной проверкой подлинности. (Взято из сети)

1568588752928.png


1568589072595.png

Т.е при включенном NLA, нам скажут Goodbye! Но имея логин и пароль от любой учетной записи в системе с правами удаленного доступа, все еще можно выполнить RCE. К сожалению я пока не смог это воспроизвести.
Эффективным же решением против данной проблемы, как не странно является установка официального патча выпущенного для всех уязвимых версий ОС, вплоть до Windows XP который давно не поддерживается Microsoft-ом.


Полезные ссылки:
xakep.ru

Продемонстрированы эксплоиты для RCE-проблемы BlueKeep

Исследователи изучают уязвимость CVE-2019-0708, благодаря которой атакующие могут распространять малварь подобно червю.
xakep.ru xakep.ru
xakep.ru

Две новые уязвимости с потенциалом червя угрожают Windows и похожи на BlueKeep

У опасной проблемы BlueKeep появились достойные «последователи». Microsoft исправила две похожие уязвимости в своих продуктах и призывает всех срочно установить обновления.
xakep.ru xakep.ru

На этом я завершаю сегодняшнюю встречу, благодарю за внимание!
 
  • Нравится
Реакции: Roomanok, nick09, Reptil и ещё 9
Нажмите, чтобы раскрыть...
  • Нравится
Реакции: AndreyEg
gushmazuko сказал(а):
Сегодня решил поделиться с вами обзором уже довольно известной уязвимости под названием BlueKeep (CVE-2019-0708)
Нажмите, чтобы раскрыть...
Все это конечно хорошо, и разложили все грамотно и по полочкам, читать приятно! :)
Вот только мы уже несколько дней обсуждаем этот exploit на форуме вот в этой теме.

PS: и основная проблема сейчас с этим exploit'ом, то что даже при отключеном "NLA" у жертвы, все ровно в ряде случаев exploit может не отработать должным образом, как выяснилось это связано с адресом на который нацелен exploit, при смене значения target (физическая машина или виртуалка), мы фактически нацелеваемся на атаку по другому смещению, при этом даже сами авторы exploit'a сообщили что этот адрес может зависеть от многих факторов, в том числе и от используемого на жертве ПО!

Например если у Вас проблемы с отработкой exploit'a на виртуальной машине, то в большинстве случаев достаточно изменить значение "GROOMSIZE"
set GROOMSIZE 50 (или 100 / 150 / 200 / 250 в зависимости от выделенного объема оперативной памяти для виртуалки), а вот на физической машине это не помогает :(
 
Последнее редактирование:
gushmazuko сказал(а):
Но имея логин и пароль от любой учетной записи в системе с правами удаленного доступа, все еще можно выполнить RCE. К сожалению я пока не смог это воспроизвести.
Нажмите, чтобы раскрыть...
Имея логин и пароль вообще много чего можно сделать, но это же не наш метод, не так ли? ;)
Но если еще актуально, то например вот эти варианты подключения через SMB протокол зная логин и пароль.
 
А что с 1181/1182?
 
WhiteHacK сказал(а):
Имея логин и пароль вообще много чего можно сделать, но это же не наш метод, не так ли? ;)
Но если еще актуально, то например вот эти варианты подключения через SMB протокол зная логин и пароль.
Нажмите, чтобы раскрыть...
Имея логин и пароль от непривилегированного пользователя можно получить доступ с наивысшими правами в системе, выше чем у администратора. Но если ты не считаешь это серьезной проблемой, то не знаю.))

grandmother_Bo сказал(а):
А что с 1181/1182?
Нажмите, чтобы раскрыть...
Пока ничего, возможно вскоре появиться PoC.
 
Ребят, все отлично, автору + за статью! Я продолжу еще в этом ключе, неплохой фидбек получил эксплоит на питоне от Ekultek!
В данной ситуации, автор минусанул пейлоад, строка 382 (Ekultek/BlueKeep)
и у меня возник вопрос в каком формате самостоятельно можно сделать пэйлоад? И на сколькоо это будет успешнее чем в реализации Metasploit!
Автору за статью респект!
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Сергей Попов
  • Статья Статья
Статья Сетевая разведка и сканирование портов: практическое руководство по nmap и masscan
Ответы
1
Просмотры
888
Этичный хакинг и тестирование на проникновение
pitdole
pitdole
Сергей Попов
  • Статья Статья
Статья Сетевая разведка из Linux: nmap, masscan, netcat и tcpdump — практические сценарии для пентеста
Ответы
0
Просмотры
1 тыс.
Этичный хакинг и тестирование на проникновение
Сергей Попов
Сергей Попов
Сергей Попов
  • Статья Статья
Статья Пентест с нуля: полное практическое руководство для начинающих в 2025
Ответы
0
Просмотры
18 тыс.
Codeby School: курсы и сертификации
Сергей Попов
Сергей Попов
Black Diver
  • Статья Статья
Metasploit Эксплоит BlueKeep (CVE-2019-0708)
Ответы
196
Просмотры
69 тыс.
Мои статьи
Nimnul
Nimnul
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab

Верх Низ
Назад